电子商务的风险与管理

1、摘要随着计算算机及网网络的日日益发展展和普及及，网络络已经成成为我们们生活的的一部分分。而电电子商务务的飞速速发展，使我们们越来越越感到网网络技术术带给我我们的好好处。但但是我们们不得不不面对这这样的现现实，即即计算机机和网络络技术在在带给我我们各种种便利的的同时，也带来来了令人人头痛的的安全问问题。该文基于于目前电电子商务务安全所所面临的的各种风风险问题题，结合合当前的的一些风风险管理理方法，对电子子商务系系统安全全风险管管理进行行一些基基本的分分析和研研究，以以期对企企业电子子商务安安全风险险管理提提供一些些有价值值的借鉴鉴和参考考。关键词：电子商商务安全全，风险险管理，风险识识别，风风险

2、控制制目录TOC o 1-3 h z u HYPERLINK l _Toc226298860 前言 PAGEREF _Toc226298860 h 2 HYPERLINK l _Toc226298861 电子商务务中存在在的安全全风险 PAGEREF _Toc226298861 h 33 HYPERLINK l _Toc226298862 （1）网网络环境境风险 PAGEREF _Toc226298862 h 44 HYPERLINK l _Toc226298863 （2）数数据存取取风险 PAGEREF _Toc226298863 h 44 HYPERLINK l _Toc226298864

3、 （3）网网上支付付风险 PAGEREF _Toc226298864 h 44 HYPERLINK l _Toc226298865 （4）信信息的截截获和窃窃取 PAGEREF _Toc226298865 h 4 HYPERLINK l _Toc226298866 （5）信信息的篡篡改 PAGEREF _Toc226298866 h 4 HYPERLINK l _Toc226298867 （6）拒拒绝服务务 PAGEREF _Toc226298867 h 4 HYPERLINK l _Toc226298868 （7）系系统资源源失窃问问题 PAGEREF _Toc226298868 h 5 H

4、YPERLINK l _Toc226298869 （8）信信息的假假冒 PAGEREF _Toc226298869 h 5 HYPERLINK l _Toc226298870 （9）交交易的抵抵赖 PAGEREF _Toc226298870 h 5 HYPERLINK l _Toc226298871 （2）开开发和实实施阶段段 PAGEREF _Toc226298871 h 6 HYPERLINK l _Toc226298872 （3）运运行阶段段 PAGEREF _Toc226298872 h 6 HYPERLINK l _Toc226298873 电子商务务的风险险管理步步骤 PAGERE

5、F _Toc226298873 h 7 HYPERLINK l _Toc226298874 （1）风风险识别别 PAGEREF _Toc226298874 h 7 HYPERLINK l _Toc226298875 （2）风风险分析析 PAGEREF _Toc226298875 h 8 HYPERLINK l _Toc226298876 （3）风风险控制制 PAGEREF _Toc226298876 h 8 HYPERLINK l _Toc226298877 风险管理理对策 PAGEREF _Toc226298877 h 99 HYPERLINK l _Toc226298878 1、网络络安全

6、技技术 PAGEREF _Toc226298878 h 122 HYPERLINK l _Toc226298879 1.1 操作系系统安全全 PAGEREF _Toc226298879 h 12 HYPERLINK l _Toc226298880 1.2 防火墙墙技术 PAGEREF _Toc226298880 h 113 HYPERLINK l _Toc226298881 1.3 VPNN PAGEREF _Toc226298881 h 13 HYPERLINK l _Toc226298882 1.4 漏洞识识别与检检测系统统 PAGEREF _Toc226298882 h 14 HYPER

7、LINK l _Toc226298883 2、数据据加密技技术 PAGEREF _Toc226298883 h 144 HYPERLINK l _Toc226298884 3、身份份认证技技术 PAGEREF _Toc226298884 h 155 HYPERLINK l _Toc226298885 （1）基基于口令令的认证证方式 PAGEREF _Toc226298885 h 115 HYPERLINK l _Toc226298886 （2）基基于安全全物品的的认证方方式PAGEREF _Toc226298886 h 155 HYPERLINK l _Toc226298887 （3）基基于生

8、物物特征的的认证方方式 PAGEREF _Toc226298887 h 166 HYPERLINK l _Toc226298888 4、数据据库安全全机制 PAGEREF _Toc226298888 h 116 HYPERLINK l _Toc226298889 5、第三三方认证证CA PAGEREF _Toc226298889 h 177 HYPERLINK l _Toc226298890 结论 PAGEREF _Toc226298890 h 199 HYPERLINK l _Toc226298891 主要参考考文献 PAGEREF _Toc226298891 h 220 HYPERLINK

9、 l _Toc226298892 谢辞 PAGEREF _Toc226298892 h 211前言电子商务务（Ellecttronnic Commmerrce，EC）是是指通过过网络（尤其是是Intternnet）所进行行的买卖卖交易以以及相关关服务或或其他的的组织管管理活动动。交易易的安全全性能否否得到保保障是电电子商务务的核心心问题。近几年年来，我我国的电电子商务务发展较较快，但但各种风风险也日日趋突出出。一般般来说，电子商商务中常常见的风风险可分分为经济济风险、管理风风险、制制度风险险、技术术风险和和信息风风险。IIT技术术是实现现电子商商务的基基础，分分析研究究其技术术风险是是保障电电

10、子商务务安全的的重要研研究课题题。为了促进进电子商商务的健健康发展展，研究究电子商商务中可可能存在在的风险险及相应应的控制制策略是是十分必必要的。本文分分析了电电子商务务中存在在的技术术风险及及其产生生的原因因，并在在此基础础上提出出了降低低电子商商务技术术风险的的相关安安全策略略及措施施。电子商务务中存在在的安全全风险由于网络络的复杂杂性、脆脆弱性、开放性性、共享享性和动动态性，使得任任何人都都可以自自由地接接入Innterrnett，从而而使以因因特网为为主要平平台的电电子商务务的发展展面临着着严峻的的安全问问题。一一般来说说，电子子商务普普遍存在在着以下下几个安安全风险险：（1）网网络环

11、境境风险网络服务务器常遭遭受到黑黑客的袭袭击，个个别网络络中的信信息系统统受到攻攻击后无无法恢复复正常运运行；网网络软件件常常被被人篡改改或破坏坏；网络络中存储储或传递递的数据据常常被被未经授授权者篡篡改、增增删、复复制或使使用。（2）数数据存取取风险由于数据据存取不不当所造造成的风风险。这这种风险险主要来来自于企企业内部部。一是是未经授授权的人人员进入入系统的的数据库库修改、删除数数据；二二是企业业工作人人员操作作失误，受其错错误数据据的影响响而带来来的风险险，其结结果必然然是使企企业效益益受到损损失，或或者是使使顾客利利益受到到损失。（3）网网上支付付风险网上支付付一直被被认为是是制约中中

12、国电子子商务发发展的最最大瓶颈颈，许多多企业和和个人担担心交易易的安全全性而不不愿使用用网上支支付。（4）信信息的截截获和窃窃取这是指电电子商务务相关用用户或外外来者未未经授权权通过各各种技术术手段截截获和窃窃取他人人的文电电 HYPERLINK / 内容以获获取商业业机密。（5）信信息的篡篡改网络攻击击者依靠靠各种技技术方法法和手段段对传输输的信息息进行中中途的篡篡改、删删除或插插入，并并发往目目的地，从而达达到破坏坏信息完完整性的的目的。（6）拒拒绝服务务拒绝服务务是指在在一定时时间内，网络系系统或服服务器服服务系统统的作用用完全失失效。其其主要原原因来自自黑客和和病毒的的攻击以以及 HY

13、PERLINK /pc/ 计算算机硬件件的认为为破坏。（7）系系统资源源失窃问问题在网络系系统环境境中，系系统资源源失窃是是常见的的安全威威胁。（8）信信息的假假冒信息的假假冒是指指当攻击击者掌握握了网络络信息数数据 HYPERLINK / 规律律或解密密了商务务信息后后，可以以假冒合合法用户户或假冒冒信息来来欺骗其其它用户户。主要要表现形形式有假假冒客户户进行非非法交易易，伪造造电子邮邮件等。（9）交交易的抵抵赖交易抵赖赖包括发发信者事事后否认认曾经发发送过某某条信息息；买家家做了定定单后不不承认；卖家卖卖出的商商品因价价格差而而不承认认原先的的交易等等。风险的管管理规则则针对电子子商务面面

14、临的各各种安全全风险，电子商商务企业业不能被被动、消消极地应应付，而而应该主主动采取取措施维维护电子子商务系系统的安安全，并并监视新新的威胁胁和漏洞洞。因此此，这就就需要制制定完整整高效的的电子商商务安全全风险管管理规则则。一般来说说，风险险管理规规则的制制定过程程有评估估、开发发和实施施以及运运行三个个阶段。（1）评评估阶段段该阶段的的主要任任务是对对电子商商务的安安全现状状、要保保护的信信息、各各种资产产等进行行充分的的评估以以及一些些基本的的安全风风险识别别和分析析。对电子商商务安全全现状的的评估是是制定风风险管理理规则的的基础。对信息和和资产的的评估是是指对可可能遭受受损失的的相关信信

15、息和资资产进行行价值的的评估，以便确确定相适适应的风风险管理理规则，从而避避免投入入成本和和要保护护的信息息和资产产的严重重不匹配配。安全风险险识别要要求尽可可能地发发现潜在在的安全全风险，应收集集有关各各种威胁胁、漏洞洞、开发发和对策策的信息息。安全风险险分析是是确定风风险，收收集信息息，对可可能造成成的损失失进行评评价以估估计风险险的级别别，以便便做出明明智的决决策，从从而采取取措施来来规避安安全风险险。（2）开开发和实实施阶段段该阶段的的任务包包括风险险补救措措施开发发、风险险补救措措施测试试和风险险知识 HYPERLINK / 学学习。风险补补救措施施开发利利用评估估阶段的的成果来来建

16、立一一个新的的安全管管理策略略，其中中涉及配配置管理理、修补补程序管管理、系系统监视视与审核核等等。在完成对对风险补补救措施施的开发发后，即即进行安安全风险险补救措措施的测测试，在在测试过过程中，将按照照安全风风险的控控制效果果来评估估对策的的有效性性。（3）运运行阶段段运行阶段段的主要要任务包包括在新新的安全全风险管管理规则则下评估估新的安安全风险险。这个个过程实实际上是是变更管管理的过过程，也也是执行行安全配配置管理理的过程程。运行阶段段的第二二个任务务是对新新的或已已更改的的对策进进行稳定定性测试试和部署署。这个个过程由由系统管管理、安安全管理理和网络络管理小小组来共共同实施施。以上风险

17、险管理规规则的三三个阶段段可以用用下图来来表示：图1 风风险管理理规则的的三个阶阶段电子商务务的风险险管理步步骤风险管理理是识别别风险、分析风风险并制制定风险险管理计计划的过过程。电电子商务务安全风风险的管管理和控控制方法法，它包包括风险险识别、风险分分析、风风险控制制以及风风险监控控等四个个方面。（1）风风险识别别电子商务务系统的的安全要要求是通通过对风风险的系系统评估估而确认认的。为为了有效效管理电电子商务务安全风风险，识识别安全全风险是是风险管管理的第第一步。风险识别别是在收收集有关关各种威威胁、漏漏洞和相相关对策策等信息息的基础础上，识识别各种种可能对对电子商商务系统统造成潜潜在威胁胁

18、的安全全风险。风险识别别的手段段五花八八门，对对于电子子商务系系统的安安全来说说，风险险识别的的目标是是主要是是对电子子商务系系统的网网络环境境风险、数据存存在风险险和网上上支付风风险进行行识别。需要注注意的是是，并非非所有的的电子商商务安全全风险都都可以通通过风险险识别来来进行管管理，风风险识别别只能发发现已知知的风险险或根据据已知风风险较容容易获知知的潜在在风险。而对于于大部分分的未知知风险，则依赖赖于风险险分析和和控制来来加以解解决或降降低。（2）风风险分析析风险分析析是运用用分析、比较、评估等等各种定定性、定定量的方方法，确确定电子子商务安安全各风风险要素素的重要要性，对对风险排排序并

19、评评估其对对电子商商务系统统各方面面的可能能后果，从而使使电子商商务系统统项目实实施人员员可以将将主要精精力放在在对付为为数不多多的重要要安全风风险上，使电子子商务系系统的整整体风险险得到有有效的控控制。风风险分析析是一种种确定风风险以及及对可能能造成的的损失进进行评估估的方法法，它是是制定安安全措施施的依据据。风险分析析的目标标是：确确定风险险，对可可能造成成损坏的的潜在风风险进行行定性化化和定量量化，以以及最后后在 HYPERLINK /Economic/ 经济济上寻求求风险损损失和对对风险投投入成本本的平衡衡。目前，风风险分析析主要采采用的方方法有：风险概概率/ HYPERLINK /

20、影响评估估矩阵，敏感性性分析，模拟等等。在进进行电子子商务安安全风险险分析时时，由于于各影响响因素量量化在现现实上的的困难，可根据据实际需需要，主主要采用用定性方方法为主主辅以少少量定量量方法相相结合来来进行风风险分析析，为制制定风险险管理制制度和风风险的控控制提供供 HYPERLINK / 理论上的的依据。（3）风风险控制制风险控制制就是选选择和运运用一定定的风险险控制手手段，以以保障风风险降到到一个可可以接受受的水平平。风险险控制是是风险管管理中最最重要的的一个环环节，是是决定风风险管理理成败的的关键因因素。电电子商务务安全风风险控制制的目标标在于改改变企业业电子商商务项目目所承受受的风险

21、险程度。一般来来说，风风险控制制方法有有两类：第一类是是风险控控制措施施，比如如降低、避免、转移风风险和损损失管理理等。在在电子商商务安全全风险管管理中，比较常常用的是是转移风风险和损损失管理理。第二类为为风险补补偿的筹筹资措施施，包括括保险与与自担风风险。在在电子商商务安全全风险管理中，管理人人员需要要对风险险补偿的的筹资措措施进行行决策，即选择择保险还还是自担担风险。此外，风风险控制制 HYPERLINK / 方法的选选择应当当充分考考虑相对对风险造造成损失失的成本本，当然然其它方方面的 HYPERLINK / 影影响也是是不容忽忽视的，如 HYPERLINK /company/ 企业业商

22、誉等等。对 HYPERLINK /dianzijixie/ 电子商商务安全全来说，其有效效可行的的风险控控制方法法是：建建立完整整高效的的降低风风险的安安全性解解决方案案，掌握握保障安安全性所所需的一一些基础础技术，并规划划好发生生特定安安全事故故时企业业应该采采取的解解决方案案。风险管理理对策由于电子子商务安安全的重重要性，所以部部署一个个完整有有效的电电子商务务安全风风险管理理对策显显得十分分迫切。制定电电子商务务安全风风险管理理对策目目的在于于消除潜潜在的威威胁和安安全漏洞洞，从而而降低电电子商务务系统环环境所面面临的风风险。 HYPERLINK / 目前的电电子商务务安全风风险管理理对

23、策中中，较为为常用的的是纵深深防御战战略，所所谓纵深深防御战战略，就就是深层层安全和和多层安安全。通通过部署署多层安安全保护护，可以以确保当当其中一一层遭到到破坏时时，其它它层仍能能提供保保护电子子商务系系统资源源所需的的安全。比如，一个单单位外部部的防火火墙遭到到破坏，由于内内部防火火墙的作作用，入入侵者也也无法获获取单位位的敏感感数据或或进行破破坏。在在较为理理想的情情况下，每一层层均提供供不同的的对策以以免在不不同的层层中使用用相同的的攻击方方法。下下图为一一个有效效的纵深深防御策策略：图2 有有效的纵纵深防御御策略下面就各各层的主主要防御御 HYPERLINK / 内容从外外层到里里层

24、进行行简要的的说明：（1）物理理安全物理安全全是整个个电子商商务系统统安全的的前提。制定电电子商务务物理安安全策略略的目的的在于保保护 HYPERLINK /pc/ 计算算机系统统、电子子商务服服务器等等各电子子商务系系统硬件件实体和和通信链链路免受受 HYPERLINK /lixue/ 自然灾害害和人为为破坏造造成的安安全风险险。（2）周边边防御对 HYPERLINK /network/ 网络周周边的保保护能够够起到抵抵御外界界攻击的的作用。电子商商务系统统应尽可可能安装装某种类类型的安安全设备备来保护护网络的的每个访访问节点点。在技技术上来来说，防防火墙是是网络周周边防御御的最主主要的手手

25、段，电电子商务务系统应应当安装装一道或或多道防防火墙，以确保保最大限限度地降降低外界界攻击的的风险，并利用用入侵检检测功能能来及时时发现外外界的非非法访问问和攻击击。（3）网络络防御网络防御御是对网网络系统统环境进进行评估估，采取取一定措措施来抵抵御黑客客的攻击击，以确确保它们们得到适适当的保保护。就就目前来来说，网网络安全全防御行行为是一一种被动动式的反反应行为为，而且且，防御御技术的的 HYPERLINK /fazhan/ 发展速度度也没有有攻击技技术发展展得那么么快。为为了提高高网络安安全防御御能力，使网络络安全防防护系统统在攻击击与防护护的对抗抗中占据据主动地地位，在在网络安安全防护护

26、系统中中，除了了使用被被动型安安全工具具（防火火墙、漏漏洞扫描描等）外外，也需需要采用用主动型型安全防防护措施施（如：网络陷陷阱、入入侵取证证、入侵侵检测、自动恢恢复等）。（4）主机机防御主机防御御是对系系统中的的每一台台主机进进行安全全评估，然后根根据评估估结果制制定相应应的对策策以限制制服务器器执行的的任务。在主机机及其环环境中，安全保保护对象象包括用用户 HYPERLINK 应用用环境中中的服务务器、客客户机以以及其上上安装的的操作系系统和应应用系统统。这些些应用能能够提供供包括信信息访问问、存储储、传输输、录入入等在内内的服务务。根据据信息保保障技术术框架，对主机机及其环环境的安安全保

27、护护首先是是为了建建立防止止有恶意意的内部部人员攻攻击的首首道防线线，其次次是为了了防止外外部人员员穿越系系统保护护边界并并进行攻攻击的最最后防线线。（5）应用用程序防防御作为一个个防御层层，应用用程序的的加固是是任何一一种安全全模型中中都不可可缺少的的一部分分。加强强保护操操作系统统安全只只能提供供一定程程度的保保护。因因此，电电子商务务系统的的开发人人员有责责任将安安全保护护融入到到应用程程序中，以便对对体系结结构中应应用程序序可访问问到的区区域提供供专门的的保护。应用程程序存在在于系统统的环境境中。（6）数据据防御对许多电电子商务务企业来来说，数数据就是是企业的的资产，一旦落落入竞争争者

28、手中中或损坏坏将造成成不可挽挽回的损损失。因因此，加加强对电电子商务务交易及及相关数数据的防防护，对对电子商商务系统统的安全全和电子子商务项项目的正正常运行行具有重重要的现现实意义义电子商商务技术术风险控控制针对电子子商务中中潜在的的各类技技术风险险，笔者者提出利利用以下下技术手手段建立立一套完完整的风风险控制制体系，将电子子商务的的风险减减少到最最小。1、网络络安全技技术网络安全全是电子子商务安安全的基基础，一一个完整整的电子子商务应应该建立立在安全全的网络络基础之之上。网网络安全全技术涉涉及面较较广，主主要包括括操作系系统安全全、防火火墙技术术、虚拟拟专用网网技术（VPNN）、漏漏洞识别别

29、与检测测技术。1.1 操作系系统安全全操作系统统的安全全机制主主要有：过滤保保护、安安全检测测保护以以及隔离离保护。（1）过过滤保护护分析所所有针对对受保护护对象的的访问，过滤恶恶意攻击击以及可可能带来来不安全全因素的的非法访访问。（2）安安全检测测保护对对所有用用户的操操作进行行分析，阻止那那些超越越权限的的用户操操作以及及可能给给操作系系统带来来不安全全因素的的用户操操作。（3）离离保护在在支持多多进程和和多线程程的操作作系统中中，必须须保证同同时运行行的多个个进程和和线程之之间是相相互隔离离的，即即各个进进程和线线程分别别调用不不同的系系统资源源，且每每一个进进程和线线程都无无法判断断是

30、否还还有其他他的进程程或线程程在同时时运行。一般的的隔离保保护措施施有以下下4种：物理隔隔离不同同的进程程和线程程调用的的系统资资源在物物理上是是隔离的的；暂时隔隔离在特特殊需要要的时间间段内，对某一一个或某某些进程程或线程程实施隔隔离，该该时间段段结束后后解除隔隔离；软件隔隔离在软软件层面面上对各各个进程程的访问问权限实实行控制制和限制制，以达达到隔离离的效果果；加密隔隔离采用用加密算算法对相相应的对对象进行行加密。1.2 防火墙墙技术防火墙是是将专用用网络与与公共网网络隔离离开来的的网络节节点，由由硬件和和软件组组成，其其主要功功能是通通过建立立网络通通信的过过滤机制制，控制制和鉴别别出入

31、站站点的各各种访问问，进而而有效地地提高交交易的安安全性。目前的的防火墙墙技术主主要包括括两种类类型，第第一类是是包过滤滤技术，其运作作方式是是监视通通过它的的数据流流，根据据防火墙墙管理事事先制定定的系统统安全政政策，选选择性地地决定是是否让这这些数据据通行；第二类类是代理理网关技技术，其其运作方方式是所所有要向向服务器器索取的的数据，都通过过代理服服务器来来索取。目前，防火墙墙技术的的最新发发展趋势势是分布布式和智智能化防防火墙技技术。分分布式防防火墙是是嵌入到到操作系系统内核核中，对对所有的的信息流流进行过过滤与限限制；智智能化防防火墙利利用了统统计、记记忆、概概率和决决策等智智能技术术

32、，对网网络执行行访问控控制。1.3 VPNN虚拟专用用网（VVPN）是依靠靠Intternnet服服务提供供商（IISP）和其他他网络服服务提供供商（NNSP），在公公用网络络中建立立专用数数据通信信网络的的技术。VPNN实现技技术主要要有：隧隧道技术术、虚电电路技术术和基于于MPLLS（Mullti-Prootoccol Labbel Swiitchhingg，多协协议标签签交换协协议）技技术。基基于MPPLS技技术的VVPN通通过改善善和加速速数据包包处理提提高VPPN效率率，集隧隧道技术术和路由由技术优优点于一一身，组组网具有有极好的的灵活性性和扩展展性。用用户只需需一条线线路接入入VP

33、NN网，便便可以实实现任何何节点之之间的直直接通信信。不过过基于MMPLSS技术的的VPNN技术本本身还有有一个成成熟的过过程，但但是它代代表了VVPN的的发展方方向。1.4 漏洞识识别与检检测系统统大部分管管理员采采用安全全漏洞扫扫描工具具对整个个系统进进行扫描描，了解解系统的的安全状状况，如如Miccrossoftt Baasellinee Seecurrityy Annalyyze.许多国国产杀毒毒软件也也提供安安全测试试程序：将存在在的漏洞洞标示出出来，并并提供相相应的解解决方法法来指导导用户进进行修补补。扫描描方式的的漏洞检检测工具具往往无无法得到到目标系系统的准准确信息息，因此此无

34、法准准确判断断目标系系统的安安全状况况。模拟拟攻击测测试是解解决这一一问题的的有效方方法，可可以准确确判断目目标系统统是否存存在测试试的漏洞洞。但是是由于漏漏洞的多多样性和和复杂性性，现有有的模拟拟攻击测测试系统统发展缓缓慢。2、数据据加密技技术在网络中中，计算算机的数数据以数数据包的的形式传传输。为为了防止止信息被被窃取，应当对对发送的的全部信信息进行行加密。加密传传输形式式是一种种将传送送的内容容变成一一些不规规则的数数据，只只有通过过正确的的密钥才才可以恢恢复原文文的面貌貌。根据据密钥的的特点，加密算算法分为为对称密密钥加密密算法（私钥密密码体制制）和非非对称密密钥加密密算法（公钥密密码

35、体制制）。目目前常用用的对称称密钥加加密算法法有DEES（Datta EEncrrypttionn Sttanddardd）算法和和IDEEA（Intternnatiionaal DDataa Enncryyptiion Alggoriithmm）算法法。常用用的非对对称密钥钥加密算算法有RRSA算算法和EEIGaamall算法。非对称称密钥加加密算法法在实际际应用中中包括以以下几种种安全技技术方式式：数字字摘要技技术，即即单向哈哈希函数数技术、数字签签名技术术、数字字证书技技术等。非数学的的加密理理论与技技术近年年来也发发展非常常迅速，成为继继传统加加密方式式后的一一种新的的选择：（1）信信

36、息隐藏藏（Infformmatiion Hiddingg）即信息息伪装，也称数数据隐藏藏（Datta HHidiing）、数字字水印（Diggitaal WWateermaarkiing），是将将秘密信信息秘密密地隐藏藏于另一一非机密密文件之之中，利用数数字化声声像信号号对于人人们的视视觉、听听觉的冗冗余，进行各各种时空空域和变变换域的的信息隐隐藏，从而实实现隐藏藏通信。主要以以灰度/彩色图图像、音音频和视视频信息息以及文文本作为为信息隐隐藏的载载体，代代表算法法有LSSB算法法和DCCT变换换域算法法。（2）量量子密码码（Quaantuum CCrypptoggrapphy）是以Heeise

37、enbeerg测测不准原原理和EEPR（EinnsteeinRRoseen）效应为为物理基基础发展展起来的的一种密密码技术术，真正实实现一次次一密码码，构成理理论上不不可破译译的密码码体制。量子密密码的研研究进展展顺利，虽然还还有很多多问题需需要解决决，但某某些方面面尤其是是子密钥钥分发已已经逐步步趋于实实用。3、身份份认证技技术网络的虚虚拟性使使得要保保证每个个参与者者都能被被无误地地识别，就必须须使用身身份认证证技术。在计算算机网络络中，现现有的用用户身份份认证技技术基本本上可以以分为33类：（1）基基于口令令的认证证方式基于口令令的认证证方式是是最基本本的认证证方式，但是存存在严重重安全

38、隐隐患。安安全性完完全依赖赖于口令令，一旦旦口令泄泄漏，用用户即被被冒充；而且用用户选择择的口令令比较简简单，容容易被猜猜测。（2）基基于安全全物品的的认证方方式主要有电电子签名名和认证证卡两种种方式。电子签签名是电电子形式式的数据据，是与与数据电电文（电电子文件件、电子子信息）相联系系的用于于识别签签名人的的身份和和表明签签名人认认可该数数据电文文内容的的数据。目前广广泛应用用于电子子商务实实践的电电子签名名即数字字签名，是通过过向第三三方的签签名认证证机构提提出申请请，由机机构进行行审查，颁发数数字证书书来取得得自己的的数字签签名。用用户在发发送信息息时使用用自己的的私有密密钥对信信息进行

39、行数字签签名，再再使用接接受方的的公共密密钥将信信息进行行加密传传输，接接收方使使用自己己的私有有密钥解解密信息息，同时时使用发发送方的的公开签签名密钥钥核实信信息的数数字签名名。智能能卡认证证方式具具有硬件件加密功功能，因因而具有有较高的的安全性性。进行行认证时时，用户户输入个个人身份份识别码码（PIIN），智能卡卡认证PPIN成成功后，即可读读出卡中中的秘密密信息，与验证证服务器器之间进进行认证证。（3）基基于生物物特征的的认证方方式以人体唯唯一的、可靠的的、稳定定的生物物特征（如指纹纹、虹膜膜、人脸脸、掌纹纹、耳郭郭、声音音）为依依据，利利用图像像处理与与模式识识别技术术进行认认证。基基

40、于密码码的认证证技术存存在密码码难以记记忆，容容易被黑黑客破译译的缺点点。而基基于生物物特征的的认证方方式具有有很好的的安全性性、可靠靠性和有有效性，正逐渐渐成为一一种新的的身份认认证方式式，特别别是近几几年来，全球生生物识别别技术的的飞速发发展为生生物认证证提供了了广泛的的技术支支持。其其中，基基于人脸脸识别的的认证技技术已经经成为当当前的研研究热点点，主要要方法有有基于几几何特征征的人脸脸识别方方法与基基于统计计的人脸脸识别方方法，并并且已有有产品投投入网络络安全领领域，如如Truue FFacee Cyyberr Waatchh.4、数据据库安全全机制数据库安安全最重重要的一一点就是是确

41、保只只授权给给有资格格的用户户访问数数据库的的权限，同时令令所有未未被授权权的人员员无法接接近数据据，这主主要通过过数据库库系统的的存取控控制机制制实现。存取控控制机制制主要包包括两部部分：（1）定定义用户户权限，并将用用户权限限登记到到数据字字典中。（2）合合法权限限检查，每当用用户发出出存取数数据库的的操作请请求后，DBMMS查找找数据字字典，根根据安全全规则进进行合法法权限检检查。若若用户的的操作请请求超出出了定义义的权限限，系统统将拒绝绝执行此此操作。一旦数据据遭到破破坏，就就必须采采取补救救措施。建立严严格的数数据备份份与恢复复管理机机制是保保障数据据库系统统安全的的有效手手段。数数

42、据备份份可以分分为2个层次次：硬件件级和软软件级。硬件级级的备份份是指用用冗余的的硬件来来保证系系统的连连续运行行。软件件级的备备份指的的是将系系统数据据保存到到其他介介质上，当出现现错误时时可以将将系统恢恢复到备备份时的的状态，这种方方法可以以完全防防止逻辑辑损坏。5、第三三方认证证CA与采用其其他交易易方式相相比，采采用电子子商务交交易模式式的各方方还有更更多的风风险，这这些在电电子商务务中所特特有的风风险有：卖方在在网站上上对产品品进行不不实宣传传，欺诈诈行为的的风险；买方发发出恶意意订单的的风险；交易一一方对电电子合同同否认的的风险；交易信信息传送送风险，如信息息被窃、被修改改等风险险

43、。这些些风险的的存在，需要设设立第三三方认证证技术中中心，为为在网上上交易各各方交易易资料的的传递进进行加密密、验证证和对交交易过程程进行监监察。CCA认证证技术中中心是一一个确保保信任的的权威实实体，它它的主要要职责是是颁发证证书，验验证用户户身份的的真实性性。任何何相信CCA的人人，按照照第三方方信任原原则，也也都应该该相信持持有证明明的用户户。CAA发放的的证书有有SSLL和SETT两种。SSLL （Seccuree Soockeets Layyer）安全协议议又叫“安全套套接层协协议”，主要要用于提提高应用用程序之之间数据据的安全全系数，一般服服务于银银行对企企业或企企业对企企业的电电

44、子商务务。SEET协议议（Seecurre EElecctroonicc Trranssacttionn）位于应用用层，用用来保证证互联网网上银行行卡支付付交易安安全性，一般服服务于持持卡消费费、网上上购物等等。结论电子商务务的开展展以信息息技术为为基础，如何解解决电子子商务中中存在的的安全问问题已成成为一个个迫在眉眉睫的课课题。电电子商务务风险是是不可能能完全消消除的，因为它它是与电电子商务务共生的的，是电电子商务务的必然然产物，但是，可以将将风险限限制在影影响最小小的范围围之内。只有了了解风险险，才能能规避风风险。本本文从安安全风险险管理的的角度出出发，分分析了电电子商务务中可能能存在的的技术风风险，论论述了这这些风险险的控制制策略，希望对对企业开开展电子子商务活活动起到到一定的的积极作作用。一般来说说，风险险管理有有基本的的三个对对策，包包括管理理者采取取适当措措施来降降低风险险事故发发生的概概率；管管理者准准备并实实施一个个意外事